URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 714
[ Назад ]

Исходное сообщение
"ASA + IPSec VPN + проблемы в тоннеле"

Отправлено V.Len , 25-Апр-13 13:28 
Добрый день,

Есть IPSec VPN (ipsec-l2l) тоннель между двумя офисами, построенный на ASA 5505. Канал 30/50 Мбит. Пользователи (25 клиентов) с офиса А ходят по RDP в офис Б через этот самый тоннель. Случилось, что скорость - или же пока непонятно, снизилась, т.е. работать удаленно на ТС сервере стало проблематично (виснет курсор!)) происходит задержка на реакцию.

Тесты iperf проходят, свои 25-30 мбит канал отдает. Ситуация с обеих сторон.

Подскажите, с чего начать разбор полетов? Какие инструменты применить, посмотреть что за трафик ходит по тоннелю, отследить вообщем данную проблему.


Содержание

Сообщения в этом обсуждении
"ASA + IPSec VPN + проблемы в тоннеле"
Отправлено V.Len , 25-Апр-13 13:40 
#sh crypto ipsec sa

interface: outside
    Crypto map tag: MAP_3DES, seq num: 50, local addr: xxx.xxx.xxx.xxx

      access-list 135 permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
      current_peer: yyy.yy.yy.yyy

      #pkts encaps: 723210, #pkts encrypt: 847288, #pkts digest: 847288
      #pkts decaps: 684085, #pkts decrypt: 684085, #pkts verify: 684085
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 723210, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 124078, #pre-frag failures: 0, #fragments created: 248156
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 20551
      #send errors: 0, #recv errors: 0

      local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yy.yy.yyy

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 9FC6612F

    inbound esp sas:
      spi: 0x88D29273 (2295501427)
         transform: esp-3des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 5, crypto-map: MAP_3DES
         sa timing: remaining key lifetime (kB/sec): (3989409/12085)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x9FC6612F (2680578351)
         transform: esp-3des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 5, crypto-map: MAP_3DES
         sa timing: remaining key lifetime (kB/sec): (4019970/12076)
         IV size: 8 bytes
         replay detection support: Y


"ASA + IPSec VPN + проблемы в тоннеле"
Отправлено V.Len , 25-Апр-13 15:35 
ну вообщем все ок!
crypto ipsec df-bit clear-df

"ASA + IPSec VPN + проблемы в тоннеле"
Отправлено Dno , 25-Апр-13 15:37 
Если это не выделенный под VPN канал, то его могут забить другим трафиком (см. торрент). Может вы канал меряли отключив эту "нагрузку", вот вам и показало 25-30 мбит.